ZARZĄDZENIE NR 21/2014 WÓJTA GMINY KAMIONKA WIELKA z dnia 27 marca 2014 roku

Transkrypt

1 ZARZĄDZENIE NR 21/2014 WÓJTA GMINY KAMIONKA WIELKA z dnia 27 marca 2014 roku w sprawie ochrony danych osobowych w Urzędzie Gminy w Kamionce Wielkiej, wprowadzenia dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Na podstawie art. 3 ust. 1i art. 36 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r., Nr 101, poz. 926 z późniejszymi zmianami), Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) oraz Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z dnia 16 maja 2012 r.), zarządzam co następuje: 1. Przetwarzanie danych osobowych w Urzędzie Gminy w Kamionce Wielkiej służy realizacji zadań wynikających z art. 7, 8, 9 ustawy z dnia 8 marca 1990 roku o samorządzie gminnym (tj. Dz. U. z 2013r., poz. 594 z późn. zm.). 2. W Urzędzie są przetwarzane, czyli zbierane, utrwalane, przechowywane, opracowywane, zmieniane, udostępniane i usuwane dane osobowe służące dopełnianiu obowiązków określonych w przepisach prawa. 3. Dane osobowe przetwarza się wyłącznie dla określonych celów związanych z zakresem działania Urzędu. W celu właściwego zabezpieczenia i ochrony danych osobowych w Urzędzie Gminy w Kamionce Wielkiej wprowadzam: 1. Politykę bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej stanowiącą załącznik Nr 1 do niniejszego zarządzenia. 2. Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej" stanowiącą załącznik Nr 2 do niniejszego zarządzenia. 1. Na Administratora Bezpieczeństwa Informacji wyznaczam Panią Stanisławę Ziobrowską - Inspektora ds. Ewidencji Ludności i Dowodów Osobistych w Urzędzie Gminy w Kamionce Wielkiej. 2. Szczegółowe zadania Administratora Bezpieczeństwa Informacji zostały określone w Polityce Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej

2 4 1. Na Administratora Systemu Informatycznego wyznaczam Pana Tadeusza Krawczyka Referenta ds. Informatyki i Dróg w Urzędzie Gminy w Kamionce Wielkiej. 2. Zadania Administratora Systemu Informatycznego zostały określone w Polityce Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej Zobowiązuję wszystkich pracowników zatrudnionych w Urzędzie Gminy, osoby wykonujące pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoby odbywające staż lub praktykę w Urzędzie Gminy do przestrzegania "Polityki bezpieczeństwa przetwarzania danych osobowych" oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych", w Urzędzie Gminy w Kamionce Wielkiej. 6 Tracą moc zarządzenia: Nr 15/99 Wójta Gminy Kamionka Wielka z dnia 20 września 1999 roku w sprawie ochrony danych osobowych, Nr 21/2009 Wójta Gminy Kamionka Wielka z dnia 30 marca 2009 roku w sprawie zmiany Zarządzenia Nr 15/99 oraz Zarządzenie Nr 3/2012 Wójta Gminy Kamionka Wielka w sprawie ochrony danych osobowych w Urzędzie Gminy w Kamionce Wielkiej, wprowadzenia dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Wykonanie zarządzenia powierza Sekretarzowi Gminy, Administratorowi Bezpieczeństwa Informacji i Administratorowi Systemu Informatycznego. Zarządzenie wchodzi w życie z dniem podpisania 7 8 Wójt Gminy /-/ mgr Kazimierz Siedlarz

3 Załącznik Nr 1 do Zarządzenia Nr 21/2014 Wójta Gminy Kamionka Wielka z dnia r. Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej. 1. Wstęp Potrzeba opracowania dokumentu wynika z 3 Rozporządzenia Prezesa Rady Ministrów z dnia 25 lutego 1999 roku w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. Nr 18 poz.162), 3,4,5 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) oraz Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z dnia 16 maja 2012 r.). Polityka Bezpieczeństwa została wprowadzona nie tylko w związku z takim obowiązkiem, ale by zapewnić właściwa reakcję, ocenę oraz udokumentowanie przypadków naruszenia bezpieczeństwa. Jej przestrzeganie wpływa bezpośrednio na znaczne zwiększenie poziomu ochrony danych osobowych. Celem Polityki Bezpieczeństwa jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki Administratora Danych w zakresie zabezpieczenia danych osobowych. Polityką bezpieczeństwa objęte są dane osobowe, którymi zgodnie z ustawą o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz.926, z późn. zm.) są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Urzędzie Gminy w Kamionce Wielkiej odnosi się do danych osobowych przetwarzanych w zbiorach danych: a) tradycyjnych, w szczególności w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, b) systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych osobowych. Niniejsza polityka Bezpieczeństwa Danych Osobowych określa w szczególności: a) Wykaz budynków, pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, b) Wykaz zbiorów danych osobowych, oraz programów zastosowanych do przetwarzania tych danych, c) Opis struktury zbiorów danych i powiązania między nimi, d) Sposób przepływu danych pomiędzy poszczególnymi systemami, e) Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

4 2. Definicje 1. Urząd - w tym dokumencie jest rozumiany, jako Urząd Gminy w Kamionce Wielkiej. 2. Administrator Danych Osobowych należy przez to rozumieć Wójta Gminy Kamionka Wielka. 3. Dane osobowe - rozumie się przez to wszystkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 4. Zbiór danych osobowych rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych wg określonych kryteriów. 5. Odbiorca danych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, ustawy o ochronie danych osobowych, d) podmiotu, o którym mowa w art. 31, ustawy o ochronie danych osobowych, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, 6. Administrator Bezpieczeństwa Informacji (ABI) - pracownik Urzędu wyznaczony przez Administratora Danych Osobowych (Wójta) do nadzorowania przestrzegania zasad ochrony danych osobowych, oraz przygotowania dokumentów wymaganych przez przepisy ustawy o ochronie danych osobowych w Urzędzie Gminy w Kamionce Wielkiej. 7. Osoba upoważniona lub użytkownik systemu osoba posiadająca upoważnienie wydane przez ADO lub osoba uprawniona przez niego i dopuszczona jako użytkownik do przetwarzania danych osobowych w systemie informatycznym danej komórki organizacyjnej, w zakresie wskazanym w upoważnieniu, zwana dalej użytkownikiem. Użytkownikiem systemu informatycznego może być osoba zatrudniona w Urzędzie, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca staż lub praktykę w Urzędzie. 8. Identyfikator użytkownika - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym; 9. Hasło - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym; 10. Administrator Systemu Informatycznego (ASI) - pracownik odpowiedzialny za funkcjonowanie systemu teleinformatycznego, oraz stosowanie technicznych i organizacyjnych środków ochrony w tym systemie; 11. Sieć lokalna - rozumie się przez to połączenie komputerów pracujących w Urzędzie w celu wymiany danych (informacji) dla własnych potrzeb, przy wykorzystaniu urządzeń telekomunikacyjnych; 12. Publiczna sieć telekomunikacyjna - rozumie się przez to sieć telekomunikacyjną wykorzystywaną głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych w rozumieniu ustawy z dnia 16 lipca 2004r. - Prawo telekomunikacyjne (t. j. Dz. U. z 2014 r., poz. 243); 13. Sieć telekomunikacyjna - rozumie się przez to systemy transmisyjne oraz urządzenia komutacyjne lub przekierowujące, a także inne zasoby, w tym nieaktywne elementy sieci, które umożliwiają nadawanie, odbiór lub transmisję sygnałów za pomocą przewodów, fal radiowych, optycznych lub innych środków wykorzystujących energię elektromagnetyczną, niezależnie od ich rodzaju; 14. System informatyczny - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;

5 15. Przetwarzanie danych - rozumie się to w tym dokumencie, jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie a zwłaszcza te, które wykonuje się w systemach informatycznych; 16. Zabezpieczenie danych w systemie informatycznym rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem; 17. Teletransmisja - rozumie się przez to przesyłanie informacji za pomocą sieci telekomunikacyjnej; 18. Poufność danych - rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom. 19. Integralność danych - rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione, lub zniszczone w sposób nieautoryzowany. 20. Rozliczalność - rozumie się przez to właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. 21. Aplikacja - rozumie się przez to program komputerowy wykonujący konkretne zadania. 22. Wysoki poziom bezpieczeństwa -musi występować wtedy, gdy przynajmniej jedno urządzenie systemu informatycznego, służące do przetwarzania danych osobowych, połączone jest z siecią publiczną. 23. Komórka organizacyjna - rozumie się przez to referat oraz samodzielne stanowisko pracy. 3. Obowiązki Administratora Danych Osobowych: Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków wskazanych w ustawie. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby te dane były: a) Przetwarzane zgodnie z prawem, b) Zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami; c) Merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; d) Przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Administrator danych wyznacza administratora bezpieczeństwa informacji (ABI) nadzorującego przestrzeganie zasad ochrony. 4. Obowiązki Administratora Bezpieczeństwa Informacji: Administrator Bezpieczeństwa Informacji odpowiada za bezpieczeństwo danych osobowych, przeciwdziałanie dostępowi osób nieupoważnionych do systemu, w którym przetwarzane są dane osobowe oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń w tym w szczególności za: a) nadzór przestrzegania zasad ochrony danych osobowych, b) dopuszczanie do przetwarzania danych wyłącznie osób upoważnionych, c) kontrolę przestrzegania zasad przetwarzania danych osobowych, d) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych w Urzędzie, e) sklasyfikowanie zbiorów danych osobowych przetwarzanych w Urzędzie,

6 f) rejestrowanie zbiorów danych (w przypadku potrzeby zgodnie z rozdziałem 6 ustawy o ochronie danych osobowych), g) prowadzenie ewidencji miejsc przetwarzania danych osobowych, h) monitorowanie zmian w przepisach prawnych dotyczących sposobu zabezpieczenia danych osobowych oraz zaleceń i interpretacji GIODO. i) organizowanie szkoleń w zakresie obowiązujących przepisów o ochronie danych osobowych j) niezwłoczne informowanie ADO o wszelkich niezgodnościach. W przypadku nieobecności ABI obowiązki wykonuje osoba przez niego upoważniona. 5. Obowiązki Administratora Systemu Informatycznego: a) zapewnianie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; b) utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; c) przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; d) podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji; e) bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4; f) zapewnianie szkoleń osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak: zagrożenia bezpieczeństwa informacji, skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich; g) zapewnianie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez: monitorowanie dostępu do informacji, czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji; h) ustanawianie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość; i) zabezpieczanie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie; j) zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; k) ustalanie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych; l) zapewnianie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: dbałości o aktualizację oprogramowania, minimalizowaniu ryzyka utraty informacji w wyniku awarii, ochronie przed błędami, utratą, nieuprawnioną modyfikacją, stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,

7 zapewnieniu bezpieczeństwa plików systemowych, redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa; m) bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; n) zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok; o) niezwłoczne informowanie ADO o wszelkich niezgodnościach. W przypadku nieobecności ASI obowiązki wykonuje osoba przez niego upoważniona. 6. Obszar przetwarzania danych osobowych Budynek Urzędu Gminy, w którym przetwarzane są dane osobowe w systemie informatycznym i tradycyjnym usytuowany jest w miejscowości Kamionka Wielka - adres Kamionka Wielka 5. Wzór szczegółowego wykazu pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są zbiory danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, znajduje się w załączniku Nr 1 do Polityki Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej. 7. Wykaz zbiorów danych osobowych przetwarzanych w Urzędzie Gminy w Kamionce Wielkiej. Dane zawierające informacje o osobach będących klientami Urzędu, są przetwarzane zgodnie z prawem lub osoby te zgodziły się na przetwarzanie. Szczegółowy wykaz zbiorów zawierających dane osobowe znajduje się w załączniku nr 1 do Polityki Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej W skład systemu wchodzą: a) Dokumentacja papierowa (korespondencja, wnioski, deklaracje, formularze zgody na przetwarzanie danych osobowych itd.) b) Urządzenia i oprogramowanie komputerowe służące do przetwarzania informacji oraz procedury przetwarzania danych w tym systemie, w tym procedury awaryjne. c) Wydruki komputerowe. Do przetwarzania danych osobowych w systemie informatycznym Urzędu Gminy stosuje się następujące aplikacje, których wykaz wraz z identyfikacją wzajemnych powiązań znajduje się w załączniku nr 1a do Polityki Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej. W systemie informatycznym stosuje się wysoki poziom bezpieczeństwa przy przetwarzaniu danych osobowych, ze względu na fakt połączenia urządzeń systemu informatycznego służącego do przetwarzania danych osobowych z siecią publiczną. 8. Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych: a) Środki ochrony fizycznej: Budynek Urzędu, w którym z lokalizowany jest obszar przetwarzania danych osobowych jest zamykany po zakończeniu pracy. W wejściu za montowane są podwójne drzwi

8 antywłamaniowe. Budynek jest monitorowany i chroniony systemem alarmowym przez koncesjonowaną Agencję Ochrony Osób i Mienia "SEZAM" w Nowym Sączu. W oknach na parterze budynku za montowane są kraty, Urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zamkniętych, W obszarze przetwarzania danych osobowych mogą przebywać wyłącznie pracownicy zatrudnieni przy przetwarzaniu danych, Administrator Bezpieczeństwa Informacji, Administrator Systemu Informatycznego, osoby indywidualnie upoważnione przez Administratora Danych, Przebywanie osób trzecich w pomieszczeniach tworzących obszar przetwarzania danych osobowych dopuszczalne jest tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych, Pomieszczenia w obszarze przetwarzania danych osobowych muszą być zamykane na czas nieobecności pracowników zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich, Ekrany monitorów komputerowych na których odbywa się przetwarzanie danych osobowych muszą być zlokalizowane w sposób uniemożliwiający osobom trzecim podgląd wyświetlanych danych, Zastosowano wygaszenie ekranu w przypadku dłuższej nieaktywności użytkownika, które jednocześnie uruchamiają blokadę uniemożliwiającą kontynuowanie pracy bez podania właściwego hasła, Zastosowano szafę stalową do przechowywania nośników z kopiami zapasowymi zawierającymi dane osobowe, Dostęp do pomieszczenia, w którym znajdują się urządzenia serwerowe ma tylko Administrator Bezpieczeństwa Informacji (ABI) oraz Administrator Systemu informatycznego (ASI). b) Środki sprzętowe, informatyczne i telekomunikacyjne: Każdy dokument zawierający dane osobowe a przeznaczony do likwidacji jest niszczony w sposób uniemożliwiający jego odczytanie w niszczarce dokumentów, Dyski i inne nośniki elektroniczne zawierające dane osobowe a przeznaczone do likwidacji, są przed opuszczeniem Urzędu dokładnie wymazywane, formatowane i niszczone fizycznie, Urządzenia wchodzące w skład infrastruktury sieciowej, serwera oraz komputery, na których przetwarzane są dane osobowe podłączone są do awaryjnych zasilaczy UPS, zabezpieczających przed skokami napięcia i zanikiem zasilania, Sieć Lokalna oparta jest o topologie gwiazdy gdzie komputery sieci lokalnej oraz serwery podłączone są do Internetu z wykorzystaniem switchy, a także firewalla, który także spełnia funkcję bramy. Firewall filtruje dane przechodzące pomiędzy siecią lokalną i siecią publiczną, W sieci lokalnej podpięte są również punkty dostępowe do sieci bezprzewodowej (WiFi) sieć jest zabezpieczona poprzez filtrowanie Adresów MAC, W sieci lokalnej wszystkie adresy są statycznie przypisywane przez Administratora Systemu Informatycznego aby wykluczyć podłączenie osoby niepowołanej do sieci. Dodatkowo do każdego adresu jest przypisany Adres MAC, Wszystkie urządzenia wchodzące w skład sieci komputerowej ewidencjonowane są zgodnie z załącznikiem nr 1b do Polityki Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej Kopie zapasowe wykonywane są codziennie na dysk sieciowy podłączony do serwera, dodatkowo raz na dwa tygodnie archiwum całościowe przenoszone jest na nośniki wymienne.

9 c) Środki ochrony w ramach oprogramowania urządzeń teletransmisji: Na komputerach użytkowników systemu działa program antywirusowy, Na komputerach użytkowników systemu działa programowy firewall, Dostęp do serwera zawierającego dane osobowe zabezpieczony jest hasłem. d) Środki ochrony w ramach oprogramowania systemu: Dostęp do baz danych osobowych zastrzeżony jest wyłącznie dla uprawnionych pracowników, Konfiguracja systemu umożliwia użytkownikom końcowym dostęp do danych osobowych przechowywanych w systemie informatycznym wyłącznie za pośrednictwem aplikacji wymienionych w punkcie 6, System informatyczny pozwala zdefiniować odpowiednie prawa dostępu do zasobów informatycznych systemu odrębnie dla każdego pracownika, Zastosowano działający w tle program antywirusowy na komputerach użytkowników, W systemie sieciowym stosuje się mechanizm wymuszający okresową zmianę haseł dostępu. e) Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych: Zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji. Użytkownicy mają dostęp do aplikacji umożliwiający dostęp tylko do tych danych osobowych, do których mają uprawnienia. f) Środki ochrony w ramach systemu użytkowego: Każdy komputer, a zwłaszcza ten, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem uruchomieniowym Windows. Hasła systemowe posiadają 8 znaków w tym co najmniej jedną cyfrę i jedną dużą literę, Monitory komputerów na których odbywa się przetwarzanie danych osobowych zlokalizowane są w sposób uniemożliwiający osobom trzecim podgląd wyświetlanych danych, Zastosowano wygaszenie ekranu w przypadku dłuższej nieaktywności użytkownika, które jednocześnie uruchamiają blokadę uniemożliwiającą kontynuowanie pracy bez podania właściwego hasła. g) Środki organizacyjne i obowiązki pracownicze osób zatrudnionych przy przetwarzaniu danych osobowych wynikające z potrzeby zapewnienia ochrony danych osobowych: Wyznaczono Administratora Bezpieczeństwa Informacji i Administratora Systemu Informatycznego, Do przetwarzania danych osobowych dopuszczane są osoby na podstawie indywidualnego upoważnienia do przetwarzania danych osobowych wydawanego przez Administratora Danych Osobowych, stanowiącego załącznik nr 2 do "Polityki Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej", Szczegółowy zakres dostępu do poszczególnych zbiorów zawierających dane osobowe ustalany jest na podstawie dokumentu Wniosek o dostęp i nadanie/odebranie uprawnień w systemach UG Kamionka Wielka którego wzór stanowi załącznik nr 2a do "Polityki Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej". Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane są do zachowania ich w tajemnicy, Osoby przetwarzające dane osobowe są przed dopuszczeniem ich do tych danych szkolone w zakresie obowiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz informowane o podstawowych zagrożeniach związanych z przetwarzaniem danych osobowych w systemie informatycznym,

10 Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych, którą prowadzi Administrator Bezpieczeństwa Informacji. Wzór ewidencji stanowi Załącznik Nr 3 do Polityki Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej, Ustalono Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych, Zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych osobowych. Rejestracji podlegają wszystkie przypadki awarii systemu, działania konserwacyjne w systemie oraz naprawy (Rejestr systemu informatycznego prowadzi Administrator Systemu Informatycznego), W sytuacji, gdy zachodzi konieczność naprawy sprzętu komputerowego poza siedzibą urzędu, Administrator jest zobowiązany do wymontowania wszystkich nośników, w tym twardego dysku. h) Sekretarz Gminy i Kierownicy Referatów zobowiązani są do: sprawowania nadzoru nad pracą podległych pracowników w zakresie wykonywania czynności służbowych, w sposób zapewniający należytą ochronę danych osobowych, opracowania zakresów czynności z uwzględnieniem przestrzegania przepisów o ochronie danych osobowych, dla każdej osoby, zatrudnionej przy przetwarzaniu danych osobowych, zawiadomienia Administratora Bezpieczeństwa Informacji o konieczności utworzenia nowego zbioru danych osobowych wymagającego rejestracji w GIODO. 9. Procedura postępowania w przypadku naruszenia ochrony danych osobowych a) Każdy pracownik Urzędu, który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązany niezwłocznie zgłosić to Administratorowi Bezpieczeństwa Informacji. b) W razie braku możliwości zawiadomienia Administratora Bezpieczeństwa Informacji lub osoby przez niego upoważnionej należy zawiadomić bezpośredniego przełożonego. c) Do czasu przybycia na miejsce Administratora Bezpieczeństwa Informacji należy: niezwłocznie podjąć czynności niezbędne do powstrzymania skutków naruszenie ochrony (o ile to możliwe), ustalić przyczynę i sprawcę naruszenia ochrony, rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, o ile to możliwe należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia ochrony i udokumentowanie zdarzenia, podjąć stosowne działania, jeśli zaistniały przypadek został przewidziany w dokumentacji systemu operacyjnego, bazy danych, czy instrukcji aplikacji użytkowej, nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Administratora Bezpieczeństwa Informacji. d) Po przybyciu na miejsce naruszenia bezpieczeństwa danych osobowych Administrator Bezpieczeństwa Informacji podejmuje następujące kroki: zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy Urzędu, może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem, rozważa celowość i potrzebę powiadamiania o zaistniałym naruszeniu Administratora Danych Osobowych,

11 nawiązuje kontakt ze specjalistami spoza Urzędu (jeśli zachodzi taka potrzeba). e) Administrator Bezpieczeństwa Informacji dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych osobowych sporządzając raport wg wzoru stanowiącego Załącznik Nr 4, do Polityki Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej, który zawiera następujące informacje: Wskazanie osoby zawiadamiającej o naruszeniu, oraz innych osób zaangażowanych w wyjaśnienie okoliczności naruszenia bezpieczeństwa, określenie czasu i miejsca zawiadomienia o naruszeniu bezpieczeństwa, jak i samego naruszenia (o ile da się ustalić), określenie okoliczności towarzyszących i rodzaju naruszenia, opis podjętego działania wraz z wyjaśnieniem wyboru sposobu działania, wstępną ocenę przyczyn wystąpienia naruszenia bezpieczeństwa, ocenę przeprowadzonego postępowania wyjaśniającego i naprawczego. f) Raport z wystąpienia zdarzenia Administrator Bezpieczeństwa Informacji przekazuje Administratorowi Danych Osobowych. g) Administrator Bezpieczeństwa Informacji zasięga potrzebnych mu opinii i proponuje działania naprawcze (w tym także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń, oraz terminu wznowienia przetwarzania danych osobowych). h) Zaistniałe naruszenie bezpieczeństwa może stać się przedmiotem zespołowej analizy przeprowadzanej przez kierownictwo Urzędu, Administratora Danych Osobowych, Administratora Bezpieczeństwa Informacji, Administratora Systemu Informatycznego i Pełnomocnika ds. Informacji Niejawnych. i) Analiza ta powinna zawierać wszechstronną ocenę zaistniałego naruszenia bezpieczeństwa, wskazanie odpowiedzialnych, wnioski co do ewentualnych działań proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszłości. 10. Postanowienia końcowe. a) Wobec osoby, która w przypadku naruszenia ochrony danych osobowych nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami wszczyna się postępowanie dyscyplinarne. b) Administrator Bezpieczeństwa Informacji zobowiązany jest prowadzić ewidencje osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych wg wzoru określonego w załączniku nr 5. c) Kara dyscyplinarna, wobec osoby uchylającej się od powiadomienia Administratora Bezpieczeństwa Informacji nie wyklucza odpowiedzialności karnej tej osoby zgodnie z ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). 11. Załączniki a) Załącznik Nr 1 (Wzór) Szczegółowy wykaz pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. b) Załącznik Nr 1a (Wzór) Szczegółowy wykaz aplikacji stosowanych w Urzędzie Gminy Kamionka Wielka c) Załącznik Nr 1b (Wzór) Szczegółowy wykaz infrastruktury IT w Urzędzie Gminy Kamionka Wielka d) Załącznik Nr 2 (Wzór) upoważnienia do przetwarzania danych osobowych. e) Załącznik Nr 2a (Wzór) Wniosek o dostęp i nadanie/odebranie uprawnień w systemach UG Kamionka

12 Wielka. f) Załącznik Nr 3 (Wzór) Ewidencji osób upoważnionych do przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej. g) Załącznik Nr 4 (Wzór) raportu z naruszenia bezpieczeństwa danych osobowych w Urzędzie Gminy w Kamionce Wielkiej. h) Załącznik Nr 5 (Wzór) Wykaz osób, które zostały zapoznane z "Polityką Ochrony Danych Osobowych w Urzędzie Gminy w Kamionce Wielkiej" oraz "Instrukcją Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej. Podpisy: 1. Administratora Bezpieczeństwa Informacji 2. Administratora Systemu Informatycznego.... Administrator Danych Osobowych

13 Załącznik Nr 1 do "Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej" Szczegółowy wykaz pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. (wzór) Numer pokoju Nazwa zbioru Rodzaj programu Postać

14 Załącznik Nr 1a do "Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej" Szczegółowy wykaz aplikacji stosowanych w Urzędzie Gminy Kamionka Wielka (wzór) Lp. Nazwa aplikacji Data instalacji Powiązana z

15 Załącznik Nr 1b do "Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej" Szczegółowy wykaz infrastruktury IT w Urzędzie Gminy Kamionka Wielka (wzór) EWIDENCJA SIECI Administrator imię i nazwisko Nazwa administrowanej sieci Wykaz komputerów L.p. Nazwa komputera Adres/y IP Adres/y MAC Lokalizacja adres, pokój Wykaz urządzeń sieciowych L.p. Typ urządzenia (np. punkt dostępowy WiFi, drukarka, przełącznik) Producent - model Lokalizacja adres, pokój Krótki opis (np. ilość i rodzaj portów, adresy MAC, adresy IP) Wykaz adresów IP Adres IP Przypisanie Uwagi

16 Załącznik Nr 2 do Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej" Kamionka Wielka, dnia... Upoważnienie Nr... do przetwarzania danych osobowych (wzór) Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. z 2002 r. Nr 101, poz. 926 z późn. zm.) Upoważniam Panią / Pana:.. zatrudnioną (ego) w: (imię i nazwisko).. (nazwa jednostki i komórki organizacyjnej) na stanowisku:... do przetwarzania danych osobowych (w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach) oraz do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służącym do przetwarzania danych osobowych w zakresie:.. Równocześnie zobowiązuję Pana/Panią do nie ujawniania, w żadnej postaci i treści, informacji dotyczących danych osobowych zawartych w zbiorach Urzędu Gminy w Kamionce Wielkiej z wyjątkiem sytuacji, kiedy jest to niezbędne dla celów służbowych. Upoważnienie wydaje się na czas określony/nieokreślony. Identyfikator użytkownika systemu informatycznego nadany przez Administratora Systemu Informatycznego:....

17 (podpis Administratora Systemu Informatycznego) (podpis Administratora Danych Osobowych) Załącznik Nr 2a do Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej" Wniosek o dostęp i nadanie/odebranie uprawnień w systemach UG Kamionka Wielka A. Dane identyfikacyjne użytkownika: 1. Imię i nazwisko: 2. Referat: 3. Stanowisko: 4. Nazwa komputera Adres Numer telefonu stacjonarnego... B. Uprawnienia do systemu informatycznego: Nadanie uprawnień i przydzielenie licencji Modyfikacja uprawnień Odebranie uprawnień W przypadku nadania lub modyfikacji uprawnień: 1. Uprawnienia w ramach sieci IT Dostęp do sieci LAN Dostęp do sieci Wi-Fi Dostęp do internetu 2. Uprawnienia w ramach systemów informatycznych Podgląd danych: System 1 System 2 Edycja danych: System 1 System 2 C. Podpisy: Użytkownik systemu /podpis pieczątka/ Administrator /podpis i pieczątka/ Wójt Gminy Kamionka Wielka /podpis i pieczątka/

18

19 Załącznik Nr 3 do "Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej" Ewidencja osób upoważnionych do przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej. (wzór) Lp. Imię i nazwisko Data nadania upoważnienia Data ustania upoważnienia Zakres (zbiór danych) Identyfikator Podpis potwierdzający wpisanie nowej osoby upoważnionej

20 Załącznik Nr 4 da "Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej Raport z naruszenia bezpieczeństwa danych osobowych w Urzędzie Gminy w Kamionce Wielkiej. (wzór) 1. Data :... Godzina: Osoba powiadamiająca o zaistniałym zdarzeniu:. 3. Lokalizacja zdarzenia :. 4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące: Przyczyny wystąpienia zdarzenia: Podjęte działania: Postępowanie wyjaśniające:.... (data, podpis Administratora Bezpieczeństwa Informacji)

21 Załącznik Nr 5 do Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej Wykaz osób, które zostały zapoznane z "Polityką bezpieczeństwa danych osobowych w Urzędzie Gminy w Kamionce Wielkiej" oraz z "Instrukcją Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej" (wzór) Lp. Nazwisko i imię Stanowisko Data Podpis

22 Załącznik Nr 2 do Zarządzenia Nr 21/2014 Wójta Gminy Kamionka Wielka z dnia r. Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej I. Wprowadzenie Niniejsza instrukcja określa sposób zarządzania systemami informatycznymi, służącymi do przetwarzania danych osobowych, ze szczególnym uwzględnieniem bezpieczeństwa informacji oraz postępowania w sytuacjach naruszenia ochrony danych osobowych w Urzędzie Gminy w Kamionce Wielkiej. Jest dokumentem wewnętrznym wydanym przez Administratora Danych Osobowych - Wójta Gminy Kamionka Wielka i ma zastosowanie do przetwarzania danych osobowych w systemach informatycznych Urzędu w celu bezpiecznego ich wykorzystywania. Podstawa prawna tego dokumentu: 1. Par. 3 i 5 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) 2. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) 3. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526). II. Definicje Ilekroć w niniejszym dokumencie jest mowa o: 1. Urzędzie - należy przez to rozumieć Urząd Gminy w Kamionce Wielkiej; 2. Administratorze Danych Osobowych - należy przez to rozumieć Wójta Gminy Kamionka Wielka; 3. Administrator Bezpieczeństwa Informacji (ABI) - pracownik Urzędu wyznaczony przez Administratora Danych Osobowych (Wójta) do nadzorowania przestrzegania zasad ochrony danych osobowych, oraz przygotowania dokumentów wymaganych przez przepisy ustawy o ochronie danych osobowych w Urzędzie Gminy w Kamionce Wielkiej; 4. Administrator Systemu Informatycznego (ASI) - pracownik odpowiedzialny za funkcjonowanie systemu teleinformatycznego, oraz stosowanie technicznych i organizacyjnych środków ochrony w tym systemie; 5. Osoba upoważniona lub użytkownik systemu osoba posiadająca upoważnienie wydane przez ADO lub osoba uprawniona przez niego i dopuszczona jako użytkownik do przetwarzania danych osobowych w systemie informatycznym danej komórki organizacyjnej, w zakresie wskazanym w upoważnieniu, zwana dalej użytkownikiem. Użytkownikiem systemu informatycznego może być osoba zatrudniona w Urzędzie, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca staż lub praktykę w Urzędzie; 6. Sieć lokalna - rozumie się przez to połączenie komputerów pracujących w Urzędzie w celu wymiany danych (informacji) dla własnych potrzeb, przy wykorzystaniu urządzeń telekomunikacyjnych;

23 7. Publiczna sieć telekomunikacyjna - rozumie się przez to sieć telekomunikacyjną wykorzystywaną głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych w rozumieniu ustawy z dnia 16 lipca 2004r. - Prawo telekomunikacyjne (t. j. Dz. U. z 2014 r., poz. 243); 8. Dane osobowe - rozumie się przez to wszystkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; 9. Zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych wg określonych kryteriów; 10. Wykazie zbiorów danych osobowych - rozumie się przez to wykaz zarejestrowanych jak i nie podlegających rejestracji zbiorów danych osobowych; 11. Przetwarzaniu danych - rozumie się to w tym dokumencie, jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemie informatycznym; 12. Systemie informatycznym - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; 13. Hasło - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. III. Procedury nadawania i zmiany uprawnień do przetwarzania danych osobowych w systemie informatycznym 1. Każdy użytkownik systemu informatycznego przed przystąpieniem do przetwarzania danych osobowych musi zapoznać się z: a) ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 a późn. zm.), b) Polityką Bezpieczeństwa Danych Osobowych w Urzędzie Gminy w Kamionce Wielkiej, c) niniejszym dokumentem. 2. Zapoznanie się z powyższymi informacjami pracownik potwierdza własnoręcznym podpisem na oświadczeniu, którego wzór stanowi Załącznik nr 1 do Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej". 3. Przetwarzanie danych osobowych może dokonywać jedynie pracownik posiadający upoważnienie nadane przez Administratora Danych Osobowych. (Załącznik nr 2 do "Polityki Bezpieczeństwa Przetwarzania Danych Osobowych w Urzędzie Gminy w Kamionce Wielkiej"). Administrator Systemu Informatycznego przyznaje uprawnienia w zakresie dostępu do systemu informatycznego służącego do przetwarzania danych osobowych na podstawie pisemnego upoważnienia Administratora Danych Osobowych określającego zakres uprawnień pracownika. 4. Przyznanie uprawnień w zakresie dostępu do systemu informatycznego polega na wprowadzeniu do systemu dla każdego użytkownika identyfikatora, hasła. 5. Hasło użytkownika jest tworzone według określonego standardu przez Administratora Systemu Informatycznego. Użytkownik podczas pierwszego uruchomienia systemu ma obowiązek zmienić hasło na własne, które spełnia wszystkie parametry co do długości oraz złożoności. 6. Użytkownik ma obowiązek zmieniać swoje hasło co 30 dni, o czym jest informowany przez komunikaty systemu operacyjnego. 7. Pracownik ma prawo do wykonywania tylko tych czynności, do jakich został upoważniony. 8. Pracownik ponosi odpowiedzialność za wszystkie operacje wykonane przy użyciu jego identyfikatora i hasła.

24 9. Wszelkie przekroczenia lub próby przekroczenia przyznanych uprawnień traktowane będą, jako naruszenie podstawowych obowiązków pracowniczych. 10. Pracownik zatrudniony przy przetwarzaniu danych osobowych zobowiązany jest do zachowania ich w tajemnicy. Tajemnica obowiązuje go również po ustaniu zatrudnienia. 11. Odebranie uprawnień pracownikowi następuje na pisemny wniosek Administratora Danych Osobowych z podaniem daty i przyczyny odebrania uprawnień. 12. Pracownicy Urzędu Gminy w Kamionce Wielkiej obowiązani są pisemnie informować Administratora Systemu Informatycznego o każdej zmianie mającej wpływ na zakres posiadanych uprawnień w systemie informatycznym. 13. Identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych należy niezwłocznie wyrejestrować z systemu informatycznego, w którym są one przetwarzane, oraz unieważnić jej hasło. 14. Administrator Systemu Informatycznego zobowiązany jest do prowadzenia i ochrony rejestru użytkowników, oraz ich uprawnień w systemie informatycznym. 15. Rejestr, którego wzór stanowi Załącznik nr 2 do Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej" powinien odzwierciedlać aktualny stan systemu w zakresie użytkowników i ich uprawnień, oraz umożliwiającego przeglądanie historii zmian uprawnień użytkowników. IV. Stosowane metody i środki uwierzytelnienia - zasady ustalania i posługiwania się hasłami. 1. Bezpośredni dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po podaniu identyfikatora właściwego hasła. 2. Hasło użytkownika musi być zmienione przynajmniej raz w miesiącu. 3. Identyfikator użytkownika nie powinien być zmieniany bez wyraźniej przyczyny, a po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien być przydzielany innej osobie. 4. Pracownicy są odpowiedzialni za zachowanie poufności swoich haseł. 5. Pracownik nie ma prawa udostępniania swojego hasła innym osobom. 6. Hasło należy wprowadzać w sposób, który uniemożliwi innym osobom jego poznanie. 7. W sytuacji, kiedy zachodzi podejrzenie, że ktoś poznał hasło w sposób nieuprawniony, pracownik zobowiązany jest do natychmiastowej zmiany hasła. 8. Przy wyborze hasła występują następujące zasady: a) minimalna długość hasła to 8 znaków, b) zakazuje się stosować: haseł z których użytkownik korzystał w poprzednim miesiącu, swojej nazwie użytkownika w jakiejkolwiek formie, swojego nazwiska czy imienia w jakiejkolwiek formie ogólnie dostępnych informacji o użytkowniku, przewidywalnych sekwencji znaków z klawiatury. c) należy stosować hasła: zawierające kombinacje liter i cyfr, hasła zawierające znaki specjalne, znaki interpunkcyjne, nawiasy, symbole, hasła, które można zapamiętać bez zapisywania, hasła szybkie do wprowadzenia, aby trudniej było podejrzeć osobom trzecim. 9. Zmiany hasła nie można zlecać innym osobom.

25 V. Procedury rozpoczęcia, zawieszania i zakończenia pracy w systemie. 1. Przed rozpoczęciem pracy z komputerem należy zalogować się do systemu informatycznego przy użyciu własnego indywidualnego identyfikatora i hasła. 2. W sytuacji opuszczenia stanowiska pracy na odległość uniemożliwiającą jego obserwację należy wylogować się z systemu. 3. Przed wyłączeniem komputera należy zakończyć pracę wszystkich używanych programów i wykonać o ile to możliwe prawidłowe zamknięcie systemu. 4. Niedopuszczalne jest wyłączanie komputera bez prawidłowego zamknięcia wszystkich programów i wylogowania z sieci komputerowej. 5. Przypadki nieprawidłowej pracy systemu informatycznego należy niezwłocznie zgłaszać do Administratora Systemu Informatycznego. VI. Kopie bezpieczeństwa danych osobowych. 1. Kopie bezpieczeństwa danych osobowych przygotowywane są przez Administratora Systemu Informatycznego. 2. Kopie wykonywane są codziennie na dysk sieciowy, a także raz na dwa tygodnie na nośniki wymienne. 3. Nośniki wymienne po archiwizacji przechowywane są w szafie stalowej w zamkniętym pomieszczeniu. 4. Raz w roku następuje klasyfikacja nośników wymiennych co do dalszej przydatności. 5. Niepotrzebne nośniki wymienne niszczone są w specjalnej niszczarce. VII. Przechowywanie elektronicznych nośników informacji zawierających dane osobowe oraz wydruków. 1. Elektroniczne nośniki informacji a) Dane osobowe w postaci elektronicznej (nie licząc kopii bezpieczeństwa) zapisane na nośnikach wymiennych czy dyskach twardych nie można wynosić poza siedzibę Urzędu. b) Wymienne elektroniczne nośniki informacji są przechowywane w pokojach stanowiących obszar przetwarzania danych osobowych (określony w Polityce Bezpieczeństwa Danych Osobowych Urzędu Gminy). c) Po zakończeniu pracy przez użytkowników systemu, elektroniczne nośniki informacji są przechowywane wyłącznie w zamykanych szafach biurowych. d) Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymywania danych osobowych pozbawia się wcześniej zapisu tych danych. e) Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych. W przypadku, gdy nie jest to możliwe uszkadza się je w sposób uniemożliwiający ich odczytanie. f) Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem osoby upoważnionej. 2. Wydruki a) W przypadku konieczności przechowywania wydruków zawierających dane osobowe należy je przechowywać w miejscu uniemożliwiającym dostęp osobom nieuprawnionym. b) Pomieszczenie, w którym przechowywane są wydruki musi być zamknięte na klucz po godzinach pracy urzędu.

26 c) Wydruki zawierające dane osobowe w momencie przekazania do usunięcia są niszczone w sposób uniemożliwiający ich odczytanie (w specjalnej niszczarce do papieru). VIII. Ochrona przed złośliwym oprogramowaniem. 1. Każdy komputer służący do przetwarzania danych osobowych jest wyposażony w program antywirusowy ESET NOD 32. Program antywirusowy aktualizowany jest automatycznie. 2. Cały ruch sieciowy z siecią publiczną monitorowany jest na bieżąco przez bramę antywirusową w routerze sieciowym spełniającym jednocześnie funkcję sprzętowego, zewnętrznego firewalla filtrującego dane przechodzące pomiędzy siecią lokalną i siecią publiczną. 3. Zabrania się stosowania nośników niewiadomego pochodzenia. 4. Poczta elektroniczna jest automatycznie sprawdzana przez skaner antywirusowy. 5. Wykrycie wirusa użytkownik komputera ma obowiązek zgłosić natychmiast Administratorowi Systemu Informatycznego. IX. Zasady i sposoby odnotowywania w systemie informacji o udostępnionych danych osobowych. 1. Dane osobowe z eksploatowanych systemów mogą być udostępniane wyłącznie osobom upoważnionym. 2. Udostępnianie danych osobowych może nastąpić wyłącznie po przedstawieniu wniosku. 3. Udostępniane danych osobowych nie może być realizowane droga telefoniczną. 4. Pracownicy przetwarzający dane osobowe prowadzą rejestry udostępnionych danych osobowych zawierające co najmniej: datę udostępnienia, podstawę, zakres udostępnionych informacji oraz osobę i instytucję, dla której dane udostępniono. (Rejestr stanowi załącznik Nr 3 do Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy w Kamionce Wielkiej"). 5. System informatyczny przetwarzający dane osobowe musi posiadać mechanizmy pozwalające na odnotowanie faktu wykonania operacji na danych. W szczególności zapis ten powinien obejmować: rozpoczęcie i zakończenie pracy przez użytkownika systemu, operacje wykonywane na przetwarzanych danych, przesyłanie za pośrednictwem systemu danych osobowych przetwarzanych w systemie informatycznym innym podmiotom nie będącym właścicielem ani współwłaścicielem systemu, nieudane próby dostępu do systemu informatycznego przetwarzającego dane osobowe oraz nieudane próby wykonania operacji na danych osobowych, błędy w działaniu systemu informatycznego podczas pracy danego użytkownika. 6. System informatyczny powinien zapewnić zapis faktu przekazania danych osobowych z uwzględnieniem: identyfikatora osoby, której dane dotyczą, osoby przesyłającej dane, odbiorcy danych, zakresu przekazanych danych osobowych, daty operacji, sposobu przekazanych danych.